评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置IP话机免认证和IP话机下挂PC 802.1X认证示例
组网需求
如图2-73所示,用户为了节省投资成本,希望通过VoIP实现IP话机和PC同时接入网络。用户的IP话机支持LLDP协议,能够通过LLDP获取语音VLAN。用户希望网络规划满足如下要求:
IP话机发送的语音报文,优先级比较低,需要提升报文的优先级以保证通话质量。
语音报文使用VLAN 200进行通信,数据报文使用VLAN 100进行通信。
IP话机和PC的IP地址通过DHCP服务器动态分配。
IP话机免认证、PC使用802.1X认证接入交换机。
配置注意事项
- 本举例主要介绍Switch上的NAC相关配置,RADIUS服务器配置这里不做相关说明。
RADIUS服务器上配置的RADIUS认证和计费密钥需与设备上配置的RADIUS服务器的共享密钥一致。
- 设备默认出接口的IP地址作为向RADIUS服务器发送RADIUS报文时使用的源IP地址,该IP地址需与RADIUS服务器上配置的设备IP地址一致。用户可以通过如下命令修改该IP地址:
- 执行命令radius-server authentication ip-address port source,配置RADIUS认证服务器,并指定与RADIUS认证服务器发送RADIUS报文时使用的源IP地址。
- 执行命令radius-server accounting ip-address port source,配置RADIUS计费服务器,并指定与RADIUS计费服务器发送RADIUS报文时使用的源IP地址。
- LLDP协商语音VLAN需要一定时间,防止IP话机数据VLAN先上线后无法快速切换到语音VLAN,此时需要配置MAC迁移功能。
- 根据IP话机的属性,不同型号的IP话机有不同的对接方案,详情请参见华为交换机与IP话机对接指导。
配置思路
- 在Switch上配置网络互连互通。
- 在Switch上配置DHCP功能,为PC和IP话机分配IP地址。
- 在Switch上配置AAA,为用户进行RADIUS认证、授权、计费。
- 在Switch上配置对IP话机免认证、对IP话机下挂PC进行802.1X认证,实现对用户进行接入认证。
操作步骤
- 配置网络互连互通。
# 创建VLAN并开启LLDP功能。
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 100 200 300 [Switch] lldp enable
# 把接口加入数据VLAN。
[Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] port link-type hybrid [Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 100 [Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 100 [Switch-GigabitEthernet0/0/1] quit [Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] port link-type hybrid [Switch-GigabitEthernet0/0/2] port hybrid pvid vlan 100 [Switch-GigabitEthernet0/0/2] port hybrid untagged vlan 100 [Switch-GigabitEthernet0/0/2] quit [Switch] interface gigabitethernet 0/0/3 [Switch-GigabitEthernet0/0/3] port link-type access [Switch-GigabitEthernet0/0/3] port default vlan 300 [Switch-GigabitEthernet0/0/3] quit [Switch] interface vlanif 100 [Switch-Vlanif100] ip address 10.1.1.1 24 [Switch-Vlanif100] quit [Switch] interface vlanif 300 [Switch-Vlanif300] ip address 10.3.1.1 24 [Switch-Vlanif300] quit
# 把接口加入语音VLAN。
[Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] port hybrid tagged vlan 200 [Switch-GigabitEthernet0/0/1] quit [Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] port hybrid tagged vlan 200 [Switch-GigabitEthernet0/0/2] quit [Switch] interface vlanif 200 [Switch-Vlanif200] ip address 10.2.1.1 24 [Switch-Vlanif200] quit
# 使能接口的Voice VLAN功能和接口以TLV方式授权语音VLAN。
[Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] voice-vlan 200 enable //配置语音VLAN为200 [Switch-GigabitEthernet0/0/1] stp edged-port enable //配置接口为边缘端口 [Switch-GigabitEthernet0/0/1] poe legacy enable //开启PoE交换机Switch对PD设备的兼容性检测功能,防止无法为非标准PD设备供电 [Switch-GigabitEthernet0/0/1] lldp tlv-enable med-tlv network-policy voice-vlan vlan 200 cos 6 dscp 60 //配置发布Network Policy TLV封装语音VLAN和优先级 [Switch-GigabitEthernet0/0/1] lldp compliance cdp txrx //使能接口与支持CDP协议的语音设备互通前的信息交互功能 [Switch-GigabitEthernet0/0/1] lldp compliance cdp receive //配置接口的LLDP兼容CDP的功能 [Switch-GigabitEthernet0/0/1] quit [Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] voice-vlan 200 enable [Switch-GigabitEthernet0/0/2] stp edged-port enable [Switch-GigabitEthernet0/0/2] poe legacy enable [Switch-GigabitEthernet0/0/2] lldp tlv-enable med-tlv network-policy voice-vlan vlan 200 cos 6 dscp 60 [Switch-GigabitEthernet0/0/2] lldp compliance cdp txrx [Switch-GigabitEthernet0/0/2] lldp compliance cdp receive [Switch-GigabitEthernet0/0/2] quit
# 配置到服务器区的静态路由,假设下一跳为10.3.1.2。
[Switch] ip route-static 0.0.0.0 0.0.0.0 10.3.1.2
- 配置DHCP功能。
[Switch] dhcp enable [Switch] interface vlanif 100 [Switch-Vlanif100] dhcp select interface [Switch-Vlanif100] quit [Switch] interface vlanif 200 [Switch-Vlanif200] dhcp select interface [Switch-Vlanif200] quit
- 配置AAA。# 创建并配置RADIUS服务器模板“rd1”。
[Switch] radius-server template rd1 [Switch-radius-rd1] radius-server authentication 10.5.1.3 1812 [Switch-radius-rd1] radius-server accounting 10.5.1.3 1813 [Switch-radius-rd1] radius-server shared-key cipher Example@2014 [Switch-radius-rd1] quit
# 创建AAA认证方案“abc”并配置认证方式为RADIUS。[Switch] aaa [Switch-aaa] authentication-scheme abc [Switch-aaa-authen-abc] authentication-mode radius [Switch-aaa-authen-abc] quit
# 配置计费方案“acco1”。[Switch-aaa] accounting-scheme acco1 [Switch-aaa-accounting-acco1] accounting-mode radius [Switch-aaa-accounting-acco1] accounting realtime 15 [Switch-aaa-accounting-acco1] quit
# 创建认证域“isp”,并在其上绑定AAA认证方案“abc”、计费方案acco1与RADIUS服务器模板“rd1”。[Switch-aaa] domain isp [Switch-aaa-domain-isp] authentication-scheme abc [Switch-aaa-domain-isp] accounting-scheme acco1 [Switch-aaa-domain-isp] radius-server rd1 [Switch-aaa-domain-isp] quit [Switch-aaa] quit
- 配置对IP话机免认证、对PC进行802.1X认证。# 将NAC配置模式切换成统一模式。
[Switch] authentication unified-mode
设备默认为统一模式。传统模式与统一模式相互切换后,设备会自动重启。
# 配置802.1X接入模板,并配置客户端认证超时时间为30秒。[Switch] dot1x-access-profile name d1 [Switch-dot1x-access-profile-d1] dot1x authentication-method eap [Switch-dot1x-access-profile-d1] dot1x timer client-timeout 30 [Switch-dot1x-access-profile-d1] quit
# 使能MAC迁移和迁移前探测功能。[Switch] authentication mac-move enable vlan all [Switch] authentication mac-move detect enable
# 在认证模板“p1”下绑定802.1X接入模板。[Switch] authentication-profile name p1 [Switch-authen-profile-p1] dot1x-access-profile d1
# 配置认证强制域,用户名携带域时可以不配置802.1X认证用户使用强制域。
[Switch-authen-profile-p1] access-domain isp dot1x force
# 使能IP话机免认证功能。
[Switch-authen-profile-p1] authentication device-type voice authorize [Switch-authen-profile-p1] quit
# 在接口下绑定认证模板。
[Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] authentication-profile p1 [Switch-GigabitEthernet0/0/1] quit [Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] authentication-profile p1 [Switch-GigabitEthernet0/0/2] quit
- 验证配置结果。
IP话机启动终端后,设备会自动获取地址,IP话机免认证加入网络。
PC终端启动后,输入用户名和密码,开始802.1X认证,认证成功后,用户可以访问网络。
- 用户上线后,执行命令display access-user mac-address查看在线用户信息。
